Hakovan Dropbox Sign, hakeri ukrali informacije o korisnicima

Vesti, 07.05.2024, 08:30 AM

Hakovan Dropbox Sign, hakeri ukrali informacije o korisnicima

Početkom meseca, Dropbox je objavio rezultate istrage o hakovanju svoje infrastrukture, ne precizirajući kada se incident zaista dogodio. Napad su primetili zaposleni u kompaniji 24. aprila.

Nepoznati napadači su uspeli da kompromituju nalog Dropbox Sign usluge e-potpisa i tako dobiju pristup internom mehanizmu automatske konfiguracije platforme. Koristeći ovaj pristup, hakeri su mogli da se dočepaju baze podataka koja sadrži informacije o korisnicima Dropbox Signa.

Ukradeni su sledeći podaci registrovanih korisnika Signa: korisnička imena, email adrese, brojevi telefona, lozinke (heširane), opšta podešavanja naloga i određene informacije o autentifikaciji (ključevi za autentifikaciju za Dropbox Sign API, OAuth tokeni za autentifikaciju, SMS i aplikacijski tokeni za dvofaktornu autentifikaciju). Napad je otkrio i email adrese i imena ljudi koji su samo primali ili potpisivali dokumente preko Dropbox Signa ali nikada nisu registrovali nalog. Lozinke korisnika koji su koristili opciju „sign up with…” su bezbedne.

Dropbox tvrdi da nije pronašao tragove neovlašćenog pristupa sadržaju korisničkih naloga, odnosno dokumentima i ugovorima, kao i informacijama o plaćanju.

Dropbox je resetovao lozinke za sve Dropbox Sign naloge i prekinuo sve aktivne sesije, tako da korisnici moraju ponovo da se prijave i postave novu lozinku.

Dropbox Sign, ranije poznat kao HelloSign, je Dropboxov alat za dokumente u oblaku, koji se prvenstveno koristi za potpisivanje elektronskih dokumenata. Najbliži analozi ove usluge su DocuSign i Adobe Sign.

Kako je kompanija naglasila u svojoj izjavi, infrastruktura Dropbox Signa je „u velikoj meri odvojena od drugih Dropbox usluga“. Sudeći po rezultatima istrage, hakovanje Dropbox Signa je bio izolovan incident i nije uticao na druge Dropbox proizvode. Ovo važi i za one korisnike čiji je Sign nalog povezan sa njihovim glavnim Dropbox nalogom.

Šta treba da uradite ako vam je Dropbox Sign hakovan? Dropbox je već resetovao lozinke za sve Dropbox Sign naloge. Dakle, u svakom slučaju ćete morati da promenite lozinku. Trebalo bi koristiti potpuno novu lozinku umesto malo izmenjene verzije stare. Najbolje rešenje je generisati lozinku pomoću menadžera lozinki.

Pošto su tokeni za dvofaktorsku autentifikaciju takođe ukradeni, trebalo bi i njih resetovati. Za one koji koriste SMS 2FA, resetovanje je automatsko. Oni koji koriste aplikaciju, moraće to sami da urade.

Među podacima koje su ukrali hakeri su i ključevi za autentifikaciju za Dropbox Sign API. Dakle, ako je vaša kompanija koristila ovaj alat preko API-ja, morate da generišete novi ključ.

Takođe, ako ste koristili istu lozinku na bilo kom drugom mestu, trebalo bi da je promenite što pre, posebno ako ste koristili isto korisničko ime, email adresu ili telefonski broj koji ste naveli i prilikom registracije Dropbox Sign naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje

WhatsApp uvodi korisnička imena

WhatsApp uvodi korisnička imena

Kompanija Meta saopštila je da korisnici WhatsApp-a od ove nedelje mogu da rezervišu korisničko ime koje će moći da koriste kada nova funkcija po... Dalje